¿Cuáles son las ventajas y desventajas para permitir el cierre de sesión de otras sesiones conectadas?

5

Por ejemplo, Gmail ha permitido el cierre de sesión remoto desde 2008. Creo que he visto otros sitios que le permiten cerrar todas las sesiones iniciadas.

¿Cuáles son las ventajas y desventajas a considerar en esta estrategia de gestión de sesión?

    
pregunta Mark Rushakoff 06.05.2013 - 16:18
fuente

2 respuestas

6

La función es realmente útil desde una perspectiva de seguridad, ya que permite a los usuarios darse cuenta si alguien más está accediendo a la cuenta. Esta es una característica realmente útil en el tipo de ataques en los que el atacante querría observar la cuenta en silencio para obtener información sin hacer nada activo que atraiga la atención.

El mayor inconveniente que se me ocurre es que un atacante pueda realizar un ataque de denegación de servicio contra las cuentas actualmente registradas. Por supuesto, esto no es un inconveniente, ya que el atacante podría hacer lo peor si puede acceder a su cuenta.

    
respondido por el Ayrx 06.05.2013 - 16:21
fuente
4

En su mayoría es solo una ganancia. Desde una perspectiva de seguridad, las sesiones deben expirar rápidamente, pero desde una perspectiva de usabilidad, los usuarios no quieren tener que iniciar sesión constantemente. Si va a permitir el inicio de sesión persistente, entonces es bueno ofrecer un mecanismo para borrar los inicios de sesión persistentes (casi obligatorio) idea. De esta manera, un usuario puede limpiar después de sí mismo si se da cuenta de que podría haber iniciado sesión en un lugar donde no desea estar.

El único inconveniente que puedo ver es que un atacante lo usa para bloquear a un usuario legítimo, pero eso se puede superar simplemente manteniendo un seguimiento si la sesión actual ha tenido un inicio de sesión y solo borra las sesiones que se guardan. (Piense en la forma en que Amazon mantiene su "inicio de sesión", pero requiere que ingrese su contraseña la primera vez que vaya a realizar una compra).

De esta manera, obtendrá la seguridad de poder garantizar que se borran las sesiones guardadas antiguas pero también evita que un usuario con las credenciales de la cuenta sea bloqueado fuera del sistema. Aún tiene una condición de carrera para determinar quién puede cambiar la contraseña primero, pero si le preocupa eso, puede poner seguridad adicional en el cambio de contraseña.

    
respondido por el AJ Henderson 06.05.2013 - 16:27
fuente

Lea otras preguntas en las etiquetas